Ya no solo se trata de virus. Cada día aparecen nuevas amenazas y éstas a su vez son cada vez más complejas, por lo que los fabricantes de las soluciones de seguridad. Las aplicaciones relacionadas con la seguridad han cobrado una importancia extraordinaria de un tiempo a esta parte. Es verdad que los datos son un valor capital para todas las empresas y es vital que toda esa información resida en sitios seguros, de máxima garantía y con un acceso rápido y garantizado para esas personas que deban acceder a dichos datos.
Lo que se entiende por el mercado de la seguridad es un amplio abanico de soluciones y aplicaciones relacionadas tanto con la propia seguridad lógica de los datos como física y que tienen una proyección importante tanto a medio como largo plazo.
Y es que, el mercado de la seguridad continúa evolucionando en función de cada uno de los sectores donde se aplica. A grandes rasgos, podemos observar que los sectores más maduros consideran el tema de la seguridad como algo prioritario para sus respectivos negocios. Sin embargo, aún existen sectores donde las inversiones en seguridad siguen siendo reactivas y en algunos casos poco eficientes. En nuestro país, son los sectores de la banca y de seguros los que están más concienciados de la necesidad de contar con planes de continuidad en seguridad, al igual que las grandes empresas. No obstante, las pequeñas y medianas empresas no tienen tanto nivel de concienciación, a pesar de que las nuevas tecnologías están muy presentes en sus negocios. Es en este campo donde se debe afianzar el trabajo.
Cuáles son los riesgos
Como decíamos al principio los riesgos aumentan exponencialmente. Ya no sólo se trata de virus, troyanos, o programas espía. Ahora, además están los DNS, el phising, el robo de identidad, la falta de seguridad en las redes sociales, etc. Para José Mª Ochoa, Sales Manager Alhambra-Eidos, “los riesgos están demasiado escondidos, pueden ser ataques ocultos en protocolos de red que en teoría son “limpios”, pueden venir por servicios encriptados y securizados (por ejemplo tunelizados en servicios “SSL”), etc., y las empresas especializadas en seguridad están poniendo el énfasis en la inspección profunda de paquetes de red (DPI), y realizando interfaces que permitan traducir esto hacia entornos de seguridad granular”. Por su parte desde HP se asegura que “la reciente tendencia hacia la organización de la información en entornos de cloud computing hace que las empresas dedicadas al mercado de la seguridad se enfoquen principalmente en las posibles vulnerabilidades de estos ecosistemas en la nube. Recientemente, la Cloud Security Alliance, de la que HP forma parte activa, ha publicado un documento llamado “Top Threats to cloud computing” (Principales Amenazas al Cloud Computing”)”.
En ese documento se identifican las siete principales amenazas a las que se pueden enfrentar los nuevos entornos cloud: un uso abusivo del cloud computing, interfaces y APIs inseguras, intrusos maliciosos, problemas de tecnología compartida, pérdida o filtrado de datos, pirateo de cuentas y perfiles de riesgo desconocidos. Además, propone los pasos a seguir para remediar o minimizar su impacto. Y es que, en los últimos años, con el incremento de la importancia económica de las tecnologías de la información, la criminalidad ha reorientado su foco hacia este tipo de actividades lo que hace que las organizaciones se enfrenten a adversarios más motivados, persistentes y dotados de más recursos. Esta situación hace que planteamientos válidos hace unos años ya no lo sean y las organizaciones deban mantener una monitorización constante de lo que pasa en sus sistemas, y establecer sistemas de ‘confianza cero’ en los que ya se cuenta con que algún sistema pueda estar comprometido pero evitando su propagación.
Para Nicholas Green, Director de Kroll Ontrack en España “los riesgos en la seguridad de datos vienen dados por una mayor adopción de las redes sociales en la empresa, donde el personal, sin darse cuenta, puede compartir datos corporativos o de los clientes con grandes audiencias. Otras causas que contribuyen al aumento de los riesgos en la pérdida de datos son el uso de dispositivos móviles en el entorno de trabajo (teléfonos inteligentes, tablets), que obliga a los administradores de TI a que incluyan estos dispositivos en sus protocolos de seguridad, y tecnologías como la virtualización o el cloud computing, que suponen el almacenamiento de grandes cantidades de datos en un solo lugar. Por su parte, María Campos, Country Manager de Stonesoft, cree que “Lamentablemente, uno de los principales problemas que estamos abordando en el mercado de seguridad es la actitud de muchos de los proveedores. Desde que dimos la voz de alarma, en octubre de 2010, han tenido más de un año para dotar a sus clientes de protección frente a las AETs, pero desafortunadamente no hemos constatado muchos progresos en esta área. Muy pocos han entendido la verdadera magnitud del problema, aunque algunos se esfuercen en proporcionar algún tipo de protección. Lamentablemente, la mayoría de los fabricantes que han tomado conciencia del presente reto son incapaces de construir una solución de trabajo; en su lugar, se entretienen con ajustes temporales e inflexibles. En cuanto al resto, simplemente ignoran el tema y no hacen nada”.
En definitiva, podemos afirmar que en la actualidad, los principales riesgos que tienen las empresas en lo que respecta a seguridad se derivan de la movilidad, la virtualización y los entornos de cloud computing. La adopción de dispositivos móviles y tabletas corporativas por parte de las empresas y sus empleados están planteando nuevos problemas de seguridad, ya que son mucho más vulnerables por la presencia de amenazas más sofisticadas derivadas del desarrollo del mercado. Según revela el Informe X-Force Semestral sobre Tendencias y Riesgos para 2011 que ha desarrollado IBM, en 2011 se habrían duplicado el número de ataques a móviles con respecto al año anterior. Este informe también revela que muchos fabricantes de móviles no actúan con rapidez a la hora de crear actualizaciones en materia de seguridad, además de que el software perjudicial se propaga la mayoría de las ocasiones a través de la descarga de aplicaciones de terceros. La percepción que se tiene de la seguridad de la “nube” se sigue considerando un inhibidor a la hora de optar por este modelo. Los datos y la información que manejan las empresas ya no se encuentran dentro del propio perímetro de las mismas, sino que pueden almacenarse de forma virtualizada o en la “nube”. Las empresas deben tomar medidas de seguridad que no sólo abarquen el perímetro de la misma, sino que también sean capaces de proteger los datos que se hallan fuera del mismo.
Los problemas que genera cloud
Dado que es hacia donde convergen la práctica totalidad de las aplicaciones y las soluciones, Cloud se convierte en el principal campo de batalla y es el nuevo riesgo para las organizaciones. Porque la realidad es que la nube no es segura y lo más probable es que nunca lo será, no sólo al 100%. De hecho la seguridad del cloud es menor que la que antes teníamos con los equipos controlados por el departamento de TI de una empresa y que contaba con las medidas de seguridad adecuadas. Pero claro, como todo en la vida, el que quiere ganar tiene que arriesgaba y el cloud computing lleva aparejados una serie de beneficios a los que ninguna empresa (ni usuario) quiere renunciar, así que hay que correr el riesgo. En estos momentos estamos viviendo un cambio en lo que respecta a seguridad. Anteriormente, la tendencia estaba marcada por la seguridad ante vulnerabilidad y nuevos ataques, pero ahora las necesidades vienen dadas por los requerimientos de negocio. Por ejemplo, los datos y la información que manejan las empresas ya no se encuentran dentro del perímetro de las mismas, sino que pueden almacenarse de forma virtualizada o en la nube y también se puede acceder a ellos a través de dispositivos como teléfonos móviles o tabletas. Los nuevos retos se plantean en torno a desarrollar medidas que protejan los datos que se encuentran en el exterior de este perímetro. Para el responsable de IBM, “Una de las razones por las que muchas empresas no utilizan soluciones de informática en la “nube” es precisamente la seguridad. Las medidas que cubren el perímetro de las empresas ya no son suficientes, ya que los datos no se encuentran dentro de este perímetro. Es por ello que los proveedores de soluciones de seguridad deben responder a esta nueva exigencia garantizándole al cliente la protección de estos datos en la “nube” y así ganarse su confianza”. Por su parte, desde HP aseguran que “el modelo de seguridad en la nube es una de las principales preocupaciones de las organizaciones. Es algo a lo que se ha de prestar especial atención puesto que las ciberamenazas en entornos cloud pueden verse amplificadas en algún que otro caso pese a ser muy parecidas a las de los entornos TI tradicionales. Una de las ventajas más importantes de este servicio es que con la adopción de entornos cloud nos encontramos también con la oportunidad de considerar la seguridad desde la concepción del servicio. De este modo, las soluciones se pueden adaptar y diseñar perfectamente según las necesidades de seguridad de la organización. Los modelos de seguridad en la nube a medida que madura ésta están mejorando, especialmente con iniciativas como la de la Cloud Security Alliance y con la aparición de productos de seguridad adaptados al nuevo entorno. Pero, al final, la clave es que cada organización es la propietaria de su información y sigue siendo responsable de su seguridad aunque la lleve a la nube. La nube tiene ventajas por la especialización del proveedor, economías de escala en materia de seguridad, capacidad implícita de contingencia, etc. A cambio, si la organización no diseña bien su operación con la nube, incluyendo una adecuada selección de proveedores, se puede encontrar con una pérdida de control y tener zonas de sombra en las responsabilidades”.
Una de las empresas más involucradas en la nube en nuestro país es Acens. Desde esta compañía, Gustavo San Felipe, su responsable de seguridad cree que “La adopción de soluciones basadas en cloud es inevitable por las ventajas de flexibilidad y ahorro de costes que supone. Centrándonos en los aspectos de seguridad la posibilidad de desplegar de forma rápida elementos específicos de seguridad integrados en la plataforma Cloud es una de las grandes ventajas”.
De acuerdo con esta opinión se pueden agrupar los inconvenientes específicos de entornos Cloud en dos grandes grupos, junto con la forma en la que aconsejamos abordarlos:
- La falta de conocimiento de este tipo de plataformas y el riesgo que supone no controlar adecuadamente su organización o crecimiento. Para evitar los riesgos asociados a este punto la complejidad técnica interna debe ser gestionada por un proveedor experto en este campo que proporcione una solución probada y de confianza.
- La imagen “etérea” asociada al concepto “Nube” o Cloud, en concreto la posibilidad de que la información esté almacenada en diferentes centros e incluso países, lo cual puede dificultar tanto el análisis de las medidas de seguridad que se aplican en cada caso como el cumplimiento legal en materia de datos personales. Por ello es recomendable informarse de las ubicaciones concretas en las que está albergada la plataforma que nos va a prestar servicio y las medidas de seguridad aplicadas en cada centro.
Antonio Martínez Algora, Regional Manager de NETASQ Iberia cree que “Al igual que para el mundo “físico”, ya existen soluciones avanzadas que permiten securizar por completo los entonos virtuales. Sin embargo, se está cometiendo frecuentemente el error de no considerar adecuadamente la seguridad de la nube. Sin embargo, es absolutamente necesario que forme parte de la implementación desde el primer momento. De hecho, hay que tenerla en cuenta en la fase de diseño de arquitecturas basadas en la nube y especialmente en el caso de las infraestructuras híbridas. Respecto a la seguridad perimetral en la nube, son necesarias soluciones que permitan desplegar perímetros virtuales de forma flexible y transparente sin necesidad de reconfigurar la topología de red. Además, es importante disponer de una gestión y monitorización segura de cualquier entorno sin importar si está físicamente localizado o reside en una nube virtual”. Finalmente, la directora general de StoneSoft cree que “cloud computing constituye un método muy estructurado para la introducción de información y datos. Por tanto, si los proveedores de las infraestructuras necesarias hicieran bien su trabajo, se trataría de un entorno muy fiable y fuerte para proporcionar sus servicios a miles de personas dentro y fuera de la organización. Sus ventajas son claras e indiscutibles: movilidad, comodidad, rapidez, productividad e, insistimos, si se hacen bien las cosas, seguridad”.
Somos conscientes
Hasta hace no muchos años, las empresas parecían no ser conscientes de los riesgos. Pero esto ha cambiado. Tal y como señala Mario García, director general de Check Point, las empresas son conscientes de los riesgos “cada vez más, sobre todo tras el goteo continuo de incidentes de seguridad, que ha sido particularmente abrumador en 2011, con casos como el de Wikileaks, Sony Playstation Network, Bank of América o, en nuestro país, la propia Inteco, con el ataque a su web y la consiguiente sustracción de datos personales de miles de usuarios. No obstante, hace falta una concienciación incluso mayor, sobre todo a la hora de posicionar a los empleados como parte de la solución”. En la misma línea se sitúa Alain Karioty, Regional Sales Manager de Corero Network Security, aunque pone algunos peros: “Las empresas son cada vez más conscientes de esta amenaza. Pero muchas compañías siguen actuando en modo bombero, es decir buscando una solución cuando ya están bajo ataque, lo cual puede tener impacto en los tiempos de restablecimiento del servicio. Es recomendable analizar el riesgo y las posibles pérdidas ligadas a un ataque de este tipo e implementar soluciones de protección de su infraestructura y servicios Web, DNS, Mail, VoIP,… para garantizar su disponibilidad en todo momento”.
Afortunadamente en España el grado de concienciación es muy alto, tanto las empresas como los usuarios cada día son más conscientes de los riegos a los que están expuestos. Sin embargo, todavía quedan muchos aspectos por mejorar. Por ejemplo: el empleo de tecnologías de cifrado de datos para proteger la información confidencial de las compañías todavía no está muy extendido en nuestro país, lo que puede provocar la fuga de información sensible y no cumplir con leyes y normativas vigentes, como la LOPD.
Otro aspecto muy importante a tener en cuenta, dado el uso generalizado hoy en día, es, según señala Pablo Teijeira, Gateway Business Development Manager Western Europe de Sophos “el de la protección de información en dispositivos móviles, tipo Smartphone y Tabletas, que todavía no ha sido tenido en cuenta por muchas organizaciones y que actualmente en un vector de amenazas muy serio para una organización, no sólo por el hecho de que los datos sensibles contenidos en ellos se desplacen a diario a consecuencia de la movilidad laboral, sino también porque este tipo de equipos son utilizados tanto con fines profesionales como personales”.
Los ciber-ataques se han convertido en algo más sofisticado, persistente e impredecible. Como demuestra un estudio encargado por HP, el volumen y la complejidad de las amenazas de seguridad continúa incrementándose. Así, más del 50% de los empresarios y ejecutivos de tecnología entrevistados consideran que las brechas de seguridad de sus organizaciones se han incrementado durante el último año. Cerca del 30% respondieron que han experimentado brechas de seguridad provocadas por acceso interno no autorizado, mientras que el 20% respondió que había experimentado brechas externas.
Además, con la adopción del cloud computing, las empresas son cada vez más conscientes de que es primordial proteger la información. A pesar de las oportunidades que proporciona esta tecnología, la preocupación se concentra alrededor de los riegos que existen para la información y la pérdida de control directo sobre los sistemas de los que, sin embargo, son responsables en último término. De acuerdo con esta tendencia, y como ya hemos mencionado, se están publicando constantemente informes en materia de seguridad, que alertan sobre las posibles nuevas amenazas y plantean los modos de hacerles frente.
En resumen, hoy día la mayoría de las organizaciones se están dando cuenta de la importancia de contar con una estrategia integral de gestión de riesgos, para proteger los activos de sus infraestructuras tecnológicas y su reputación corporativa. Otro tema es hasta que punto le están dando la prioridad sufiente dentro de su estrategia y teniendo en cuenta el escenarios económico. Y es que, como apunta Massimiliano Macri, Director del Área de Seguridad de Enterasys, “las compañías de tamaño pequeño o mediano están probablemente aceptando el riesgo, porque las soluciones de Cloud les proporcionan muchas ventajas, les da margen y les deja presupuesto para otros retos de negocio, en lugar de tener que gastarlo en infraestructuras. Las grandes compañías, por el contrario, se mueven en la dirección de clouds privadas, con el fin precisamente de mantener el control y disfrutar de la movilidad”.
Redes sociales
Otro de los puntos novedosos en el terreno de la seguridad es el que hace referencia a las redes sociales, cada vez más propagadoras de malware. Las empresas están cambiando la forma de relacionarse con sus clientes y público potencial. Los sistemas tradicionales están evolucionando a entornos colaborativos donde se establece un diálogo con la comunidad. Según el 1er Índice Anual de Riesgo en Redes sociales de PYMEs, publicado por Panda Security, el 78% de las empresas encuestadas utilizan las redes sociales como herramientas para apoyar la investigación y la inteligencia competitiva, mejorar su servicio de soporte al cliente, implementar las relaciones públicas y las iniciativas de marketing y generar beneficios directos. Y este porcentaje ha aumentado en los últimos meses. Los planes de seguridad de las empresas, sean grandes o pequeñas, deben contener planes de contingencia y de actuación en caso de crisis públicas causadas por cualquiera de estas plataformas, que podrían redundar en una pérdida de la reputación corporativa y de beneficios económicos. Ya que, entre otros riesgos, este boom va a provocar, sin duda, que los cibercriminales se fijen en estas empresas y comiencen a diseñar ataques específicos contra ellas, dado que los beneficios que pueden conseguir infectando a una sola de ellas pudieran ser superiores a lo que sacarían con un usuario particular. Raúl Vicente, Gerente de la línea de Negocio de Telecomunicaciones de Fibernet cree que “Fundamentalmente, y desde el punto de vista de la seguridad, se ha producido, por un lado, una pérdida de privacidad de los usuarios y de las compañías, para las que ha podido constituir incluso una vía de fuga de información corporativa. Por otro lado, la proliferación de múltiples aplicaciones en las redes sociales, algunas de ellas no seguras, pueden llegar a comprometer también los recursos corporativos. El hacker siempre va a ir por delante de la seguridad de la empresa, ¿qué hacen las empresas para acortar las distancias entre uno y otro? Tratar de prevenir al máximo e intentar protegerse contra “ataques de día cero”, actualizando, manteniendo y reforzando la seguridad sobre los activos corporativos”. Para Fernando de la Cuadra, director de educación de ESET, “el problema fundamental es el uso “alegre” que se hace de ellas por parte de los usuarios. El ámbito privado y el empresarial, en este caso, se mezclan, y acceder a una red social desde el móvil de la empresa puede parecer normal, pero entraña riesgos. Se intercambian archivos que pueden estar infectados, se accede a enlaces acortados que pueden ser falsos, se comentan temas empresariales que pueden ser confidenciales… Todo se resume a una necesidad de educación de los usuarios ante estos nuevos desafíos”.
El escenario de las amenazas ha evolucionado espectacularmente en los últimos cuatro años: 2008 fue testigo de la creciente capacidad de los virus y malware de evadir las tecnologías de firma de los antivirus; en 2009 vivimos el aumento general de ataques con fines lucrativos lanzados por ciberdelincuentes, hasta llegar a ataques más sofisticados y fáciles de implementar en 2010. En 2011, también hemos tenido que defendernos del peligro potencialmente catastrófico de amenazas avanzadas persistentes de terroristas y otras organizaciones. Como apunta Fidel Pérez, director comercial para España y Portugal de RSA, la división de seguridad de EMC, “Stuxnet fue el primer troyano en cruzar el abismo del dominio digital al mundo físico mediante la manipulación de los sistemas de control en las instalaciones de infraestructuras críticas. Stuxnet es una llamada de atención a un peligro muy real y presente y pone de manifiesto la necesidad de colaboración no sólo entre empresas, sino también entre países, en un mundo cada vez más interdependiente. Actualmente, organizaciones de todo el mundo manejan un sinfín de información digital. La velocidad con la que se comparte la información también se ha disparado, gracias a las aplicaciones basadas en la Web, dispositivos móviles, redes sociales e informática en la nube. Como resultado de ello, estamos interconectados de un modo jamás visto”. Las redes sociales son en sí mismas un ecosistema, existen técnicas de ataque especialmente desarrolladas para atacarlas, spam de redes sociales, aplicaciones fraudulentas o malware dedicado como el archiconocido Koobface. Tal y como señala el portavoz de Sophos, “efectivamente, las redes sociales se han convertido en una gran herramienta de comunicación, sin embargo, suponen uno de los más importantes vectores de ataque para los ciberdelincuentes, ya que éstas todavía no tienen un nivel de seguridad suficiente para evitar propagar malware y problemas derivados de la suplantación de la identidad de sus usuarios, sin olvidar el robo de datos personales de los mismos. Por regla general, las organizaciones están mejorando las medidas de seguridad internas para restringir y/o filtrar el acceso a este tipo de redes o a determinadas aplicaciones y contenidos”.
Las redes sociales en el ambito empresarial se están potenciado tanto para el uso dentro de la empresa para aumentar productividad de sus empleados como también para la relación de la empresa con sus clientes y proveedores con beneficios muy claros. Sin embargo, si miramos los tres principios del “Social Business” desde un punto de vista de seguridad que también son defendidos por IBM, esta nueva iniciativa puede acumular trabajo para los responsables de seguridad: el de facilitar el acceso a información y el poder comunicar de la forma mas eficiente posible, permitir la transparencia o romper las barreras dentro de una organización y incluso entre el empleado y el cliente y finalmente, promover la agilidad que incluye permitir el uso de dispositivos móviles.
El uso de redes sociales puede tener un efecto perjudicial si la información divulgada es confidencial o se vierten opiniones personales que afectan a la empresa. Es decir que es una fuente de beneficios como lo es de seguridad.
Esto significa que debemos revisar la protección de la información en nuestras empresas, en particular el de la gestión de las identidades y de accesos, es decir, las personas que van a usar y acceder a estas comunidades. Además cualquier empresa que promueva el uso de redes sociales deberá comunicar un código de conducta a sus empleados/usuarios
Finalmente, desde Acens se considera que “desde el punto de vista empresarial uno de los principales retos es abordar y contemplar la utilización de este tipo de redes en el ámbito laboral, sobre todo en aquellas pensadas exclusivamente para la relación entre particulares. Existen redes sociales con una orientación más empresarial que particular, y proporcionan múltiples herramientas que favorecen la promoción y el desarrollo de negocios entre profesionales del sector, pero no se deben ignorar o dar poca importancia a las redes sociales orientadas a favorecer la relación y comunicación entre particulares. La presencia corporativa en este tipo de redes sociales es inevitable, no solamente por cuestiones de imagen sino como un mecanismo para percibir de primera mano las opiniones de clientes y posibles clientes”.
Y es que, los problemas principales para abordar este reto desde el punto de vista empresarial suelen ser los siguientes:
- La definición de una política clara para la utilización de este tipo de redes sociales por los empleados desde el puesto de trabajo, tanto a nivel particular como en nombre de la compañía, incluyendo el tipo de información que se permite compartir en este tipo de redes y cuidando de las implicaciones y relaciones entre ambos tipos de uso.
- El análisis de la información existente en redes sociales relativa a la compañía. Las noticias o comentarios aportados por terceros puede ser muy diversa y suponer un gran volumen de información. Recopilar dicha información, e incluirla de forma efectiva en los procesos de la compañía como una entrada más, puede ser complicado si tenemos en cuenta que una de las características de este tipo de redes sociales es la rapidez con la que fluye la información y la importancia de realizar una respuesta rápida y adecuada a los comentarios que así lo merezcan.
- El análisis de las implicaciones de seguridad lógica, tanto por los mecanismos de seguridad aportados por estas redes sociales y la inevitable transferencia de información a servidores externos, como por la conexión desde puestos de empleados de la compañía convirtiéndose en otro punto posible de entrada de software malicioso.
Extendiendo la gestión de identidades a la nube
Jordi Gascón, Director Solution Sales, CA Technologies
En los próximos años y sin posibilidad de ignorar esta opción, cada vez más servicios TI se prestarán desde la nube. A medida que las organizaciones maduren y sean capaces de ir adoptando servicios más complejos y críticos, la necesidad de extender la gestión de identidades de los propios sistemas para incluir sistemas ajenos cobrará mayor importancia. Ahora es el momento de retomar los proyectos de federación o de autenticación única en la web para dar respuesta a esta demanda que vendrá directamente de nuestros departamentos de negocio.
El ritmo de evolución de la tecnología es vertiginoso, pero las empresas, exceptuando las recién creadas, deben amortizar los activos existentes, así que el departamento de informática se enfrenta al reto de hacer convivir la infraestructura existente con las nuevas modalidades de consumo de servicios TI. A esta ecuación hay que sumar también el fenómeno de la “consumerización”, con la inclusión de dispositivos tablet, smartphones, ultrabooks, etcétera o los modelos “BYOD” (Bring Your Own Device) en que los usuarios “empujan” a los departamentos TI a la adopción de soluciones que contemplen su uso.
Ante esto, los departamentos de TI pueden adoptar distintos enfoques, desde las aproximaciones más restrictivas a las más permisivas. En un extremo, pueden optar por la negación sistemática de incluir estos dispositivos por ser ajenos a los procesos TI de la organización, y en el extremo opuesto, se encontraría la inclusión absoluta de cualquier dispositivo, convertido en un mero visualizador aislado de la infraestructura de datos de la organización. En cualquiera de los casos, se presentan una serie de retos que no podemos obviar.
Intentemos abordarlo por partes. El concepto básico del que partimos es que nuestro objetivo debe ser conectar al usuario con la información a la que precisa acceder, resida ésta donde fuere y sea cual sea el dispositivo que utilice.
¿Gestión de Identidades o Aprovisionamiento de Usuarios?
Si bien la mayoría de organizaciones maduras y con un número elevado de empleados ya disponen de soluciones de aprovisionamiento de usuarios, pocas disponen de auténticas soluciones de gestión de identidades. En otras palabras, no es lo mismo que el help desk sea capaz de crear cuentas de usuarios en los sistemas, que disponer de un sistema de gestión de identidades basado en roles (RBAC) en el que los derechos de los usuarios estén claramente definidos, basados en políticas y registrados y que el sistema se encargue de garantizar el cumplimiento de las políticas, con especial hincapié en el control de usuarios privilegiados y en la segregación de funciones. Por tanto, la primera sugerencia es: antes de mirar hacia fuera, tengamos en orden de revista nuestra propia casa.
¿Cómo se gestiona la “empresa extendida”?
Si ya se dispone de un sistema de gestión de identidades basado en roles, la siguiente pregunta que cabe hacer es si el sistema es capaz de incorporar capacidades de gestión de aquellas identidades que nuestros usuarios requerirán para el acceso a los servicios TI prestados por terceros. Igualmente, a la inversa, es necesario averiguar si la propia organización está preparada para que socios proveedores o incluso clientes puedan acceder y utilizar los sistemas internos o aplicaciones.
Es aquí donde las soluciones de autenticación única en la web, federación y los conectores de los sistemas de gestión de identidades para servicios cloud desempeñan un papel fundamental.
Si bien no existe –todavía- un consenso en los estándares a utilizar para aprovisionar usuarios en los sistemas de los proveedores de servicios cloud, organizaciones como la Cloud Security Alliance recomiendan el uso de estándares SAML o SPML para este apartado. Los proveedores de servicios cloud suelen proporcionar diferentes mecanismos para gestionar el aprovisionamiento de cuentas de usuarios en sus servidores, generalmente en forma de API, pero es importante decantarse por los estándares en lugar de usar sistemas propios del proveedor. Esto puede no parecer especialmente crítico a priori, pero será relevante si cambiamos de proveedor del servicio.
La federación es otro factor a evaluar porque permitirá que usuarios verificados y autenticados en nuestros sistemas accedan a sistemas externos con las autorizaciones debidamente controladas y auditadas. Es evidente que el uso de la federación con los sistemas de nuestros proveedores y socios mejorará la agilidad y garantizará el control adecuado. Y no hay que olvidar que esto no aplica sólo a interacciones entre personas con sus respectivas cuentas de usuario, sino también a los procesos y servicios que interactúan entre nuestros sistemas y los externos. La industria sigue trabajando para dar respuesta a estas necesidades crecientes, por lo que hay que estar atentos al desarrollo de nuevas propuestas de estándares (como SCIM – Simple Cloud Identity Management).
¿Y el acceso?
Los dispositivos personales se están haciendo hueco como medio de acceso a los sistemas empresariales, junto con el creciente uso de smartphones y tablets también corporativos. Estos dispositivos introducen nuevos riesgos, entre los más importantes, el derivado de combinar el uso personal y profesional, con todo lo que ello implica.
Por eso, si los mecanismos de federación y autenticación única en la web son las herramientas complementarias para un sistema de gestión de identidades eficiente, en este caso, es preciso introducir nuevas soluciones que garanticen los niveles de seguridad y confidencialidad requeridos. En el mercado ya existen ofertas de identificación, autenticación fuerte y federación como servicio que pueden aprovecharse para minimizar los riesgos inherentes al creciente uso de estos dispositivos. Con estas soluciones se pueden utilizar contraseñas de un sólo uso, realizar análisis de riesgos en función de las transacciones, el dispositivo, la localización u otros criterios, y cuyo resultado determinará si hay que solicitar más información al usuario, otro factor de autenticación u otras acciones que garanticen que la información a la que se accede dispone de la protección necesaria. Resulta evidente que los beneficios de los nuevos modelos de entrega de servicios TI desde la nube no pueden ser ignorados por las empresas y, por tanto, debe hacerse el esfuerzo necesario para minimizar los riesgos empresariales que conlleva su adopción.
Si bien hasta la fecha la mayoría de servicios en la nube adoptados por las empresas españolas son procesos relativamente fáciles de aislar y consumir por separado (correo electrónico, CRM, redes colaborativas, etc.), cada vez más estos servicios se imbricarán en procesos empresariales más complejos, lo que requerirá una revisión profunda de la postura de seguridad y los controles, políticas y medidas adoptadas. La empresa u organización que haya dispuesto un sistema de gestión de identidades que contemple desde el origen esta realidad tendrá una ventaja competitiva real.
Errores humanos: cuando los descuidos amenazan la información empresarial
Por Manuel Arrevola, Director General de Sophos Iberia
Los riesgos contra la seguridad de los datos son muchos y diversos. Por ello, hoy en día, los gerentes de negocios y responsables TI deben estar pendientes de los peligros y costes asociados a una posible pérdida de datos, además de contar con un plan para gestionar dichos riesgos. Al mismo tiempo, deben seguir cumpliendo con las normas de protección de datos y las regulaciones asociadas para asegurar todo lo anterior.
Sin embargo, estos profesionales deben cuidar también un aspecto que, aunque a priori, pueda parecer un problema menor, por desgracia es hoy una realidad tangible y de gran repercusión: el error humano, fallos que pueden hacer que los datos de las empresas se conviertan en vulnerables a la pérdida o robos.
A este respecto, el poeta inglés Alexander Pope escribió en 1711: «Errar es Humano», y, por desgracia, muchos de los episodios de pérdidas de datos que se producen hoy en día se deben precisamente a ello, a errores humanos. Un portátil que descansa en el asiento vacío de un avión o de un tren, una BlackBerry o un iPhone que caen de un bolsillo durante una cena, una llave USB olvidada en el stand de una feria… todos ellos, en apariencia, simples fallos de concentración que en una sociedad idílica no tendrían repercusión, pero que, por desgracia, en la nuestra, pueden tener consecuencias desastrosas. En este sentido, y aunque Pope también afirmó que «Perdonar es Divino», los profesionales de TI no puede permitirse el lujo de parafrasear en este contexto a este escritor, ni de ser en extremo indulgentes cuando se trata de salvaguardar información vital para las empresas.
Dispositivos portátiles
Un estudio realizado por el Instituto Ponemon, detalla que los lugares más comunes donde los empleados suelen perder sus ordenadores portátiles son los hoteles, aeropuertos y coches de alquiler, además de en ferias y conferencias. Los trabajadores, además, muestran a menudo descuido en la utilización de procedimientos de seguridad: uso inadecuado de mecanismos de autenticación o contraseñas, transferencia de archivos a dispositivos de memoria USB e imprudencia en la protección de sus portátiles cuando viajan.
Estas acciones, además de poner en serio peligro los datos confidenciales y sensibles de las empresas, pueden conllevar además, consecuencias muy negativas para la credibilidad de las organizaciones, como la pérdida de confianza de accionistas y clientes, daño a la imagen empresarial, interrupción del negocio, y acciones regulatorias, entre otras.
De igual manera, otros elementos como memorias USB, CDs y DVDs pueden suponer también un riesgo añadido para la red empresarial, al existir la posibilidad de que éstos contengan software no autorizado. Ejemplos de malware como el gusano Conficker se han convertido en un inconveniente importante, máxime cuando se conoce que este tipo de dispositivos pueden ayudar a difundirlo. Los usuarios también pueden copiar datos sensibles en ellos, que luego pueden perder o compartir con gente ajena. En este punto, los expertos recomiendan no desactivar la capacidad de seguridad de los dispositivos, y si los negocios dependen de los medios extraíbles, realizar un escaneado regular para defenderse contra el malware y cuidar los datos sensibles.
“Rectificar es de sabios…”
Por todo ello, los empleados deben ser conscientes de lo perjudicial que puede resultar la pérdida de un portátil, un dispositivo móvil o un soporte de almacenamiento, y aprender métodos sencillos para evitar el percance, además de conocer cuáles son los procedimientos adecuados para informar inmediatamente de un incidente de pérdida de datos.
En este punto, desde Gartner recomiendan el cifrado como método más efectivo para proteger los datos en los dispositivos móviles, mientras que para los ordenadores portátiles, indican específicamente el cifrado total de disco. «Realmente no hay excusa para no cifrar los portátiles«, afirman desde la consultora, “y las empresas que piensan que es muy caro y complejo, demuestran tener una visión equivocada de la realidad”.
En definitiva, los controles automatizados pueden ayudar a minimizar el riesgo de error humano, ya que, aunque éstos no eliminan el factor humano por completo, sí pueden limitarlo, ayudando a preservar la seguridad. Ya lo dijo Pope, “Rectificar es de Sabios”, y cuando se trata de seguridad, mucho más aún.
Los principales riesgos
Desde Panda Security se asegura que las amenazas más importantes para este año estarán básicamente relacionadas con las violaciones de la privacidad y el robo de datos. El ciberespionaje y los ataques a través de redes sociales van a ser los protagonistas, sin dejar de tener en cuenta el resto de amenazas tradicionales.
A nivel empresarial y gubernamental, el ciberespionaje está tomando un papel clave, como ya hemos visto a lo largo de este año. Desde Nueva Zelanda a Canadá, pasando por Japón y el mismísimo Parlamento Europeo, se han sucedido ataques cuya finalidad era la obtención de información clasificada. Vivimos en un mundo en el que toda la información se encuentra en formato digital, por lo que el “James Bond” de turno ya no necesita infiltrarse físicamente en unas instalaciones para robar información, sino que “sólo” le basta con tener ciertas habilidades para poder acceder a los secretos mejor guardados, y todo desde el sofá de su casa.
Para los usuarios particulares, las redes sociales se sitúan como el principal vehículo que utilizan los ciberdelincuentes para recabar datos personales. A través de técnicas de ingeniería social y aprovechando la falta de pericia o de atención de los usuarios, los ciberdelincuentes han encontrado en este tipo de redes su “gallina de los huevos de oro”. Es un entorno en el que el usuario se siente seguro, ya que todas sus conexiones se realizan a través de contactos conocidos por el usuario. El problema radica en que cada vez se utilizan más gusanos que se aprovechan de esa falsa sensación de seguridad para propagar sus creaciones utilizando como vehículo a los propios usuarios, engañándoles con viejos trucos del tipo “mira este video en el que apareces”. Una vez más observamos cómo la curiosidad es el peor enemigo.
Además, aquí tenéis otros aspectos que también serán importantes a lo largo de este año:
– Malware para móviles: hace más de una década ya podíamos encontrar compañías antivirus que nos vendían el apocalipsis en el mundo de los móviles, contándonos que íbamos a sufrir una inundación de ataques en estos dispositivos. Años más tarde, y a pesar de seguir prediciendo lo mismo, la situación no cambió, por lo que empezaron a utilizar el argumento de que no había sucedido gracias a los antivirus para móviles. Evidentemente volvían a estar equivocados; si por la existencia de antivirus se solucionaran los problemas de malware todos viviríamos mucho más tranquilos, pero lamentablemente no somos ni los usuarios ni los fabricantes de software de seguridad los que tomamos este tipo de decisiones, sino los ciberdelincuentes que atacan a las plataformas que más beneficio les pueden reportar. Ya en este contexto, para 2011 vaticinamos un aumento notable en la creación de malware para Android, vaticinio que ha sido confirmado, siendo Android el sistema operativo móvil más atacado durante este año. En 2012 continuarán los ataques a Android, y aumentarán, pero no en forma de epidemia. Sin embargo, a lo que debemos estar atentos es a los nuevos sistemas de pago mediante teléfono móvil que se van a comenzar a extender a lo largo de 2012, como los basados en el estándar NFC, que podrían motivar aún más a los ciberdelincuentes para diseñar troyanos que traten de atacarlos. Como todo, dependerá principalmente de la popularidad que dichos sistemas lleguen a alcanzar.
– Malware para Tablets: Al compartir sistema operativo con sus hermanos pequeños, los smartphones, se verán igualmente afectados por el malware que aparezca para estas plataformas. Además, los tablets tienen un atractivo extra para los ciberdelincuentes, ya que muchos usuarios lo utilizan como un sustituto del PC y almacenan en el dispositivo información susceptible de ser robada de forma mucho más habitual que en los teléfonos.
– Malware para Mac: mientras observamos cómo la cuota de mercado de Mac va creciendo, vemos también que el interés de los ciberdelincuentes en esta plataforma aumenta. Afortunadamente parece que los usuarios de Mac se van concienciando de que no viven en una plataforma inmune y el uso de antivirus en esta plataforma también ha aumentado, dificultando un poco más el trabajo a los ciberdelincuentes. Durante 2012 crecerá el número de ejemplares de malware para Mac, aunque aún estarán muy lejos de las cifras que existen en PC.
– Crecimiento de malware para PC: Durante los últimos años, el número de ejemplares de malware creados ha crecido de forma brutal, y todo indica que durante 2012 va a continuar esta tendencia. No en vano el malware es el armamento utilizado por los ciberdelincuentes para llevar a cabo sus ataques. Los troyanos seguirán siendo el arma preferida por los ciberdelincuentes para llevar a cabo sus ataques.
– Pequeñas y medianas empresas en el punto de mira de los ciberdelincuentes: ¿Por qué los clientes de entidades financieras son atacados constantemente en lugar de atacar directamente a estas entidades para robar el dinero? La respuesta a esta pregunta es el análisis del coste-beneficio que se lleva a cabo: las entidades financieras suelen estar muy bien protegidas, por lo que conseguir llevar a cabo un ataque exitoso, además de poco probable es muy costoso, mientras que atacar a sus clientes para robar su identidad y hacerse pasar por ellos es algo mucho más sencillo. Sin embargo, si miramos a pequeñas y medianas empresas, su seguridad no es tan férrea, por lo que pasan a ser un gran atractivo para los amantes de lo ajeno, ya que de un solo golpe pueden llevarse información de cientos o miles de usuarios. En muchos casos, las pequeñas y medianas empresas no cuentan con un equipo dedicado a la seguridad informática, lo que las hace mucho más vulnerables.
– Windows 8: La nueva versión del popular sistema operativo de Microsoft será lanzada, si todo va según lo previsto, en Noviembre de 2012. Si bien este lanzamiento no creemos que repercutirá en corto plazo (2012) en la creación de malware, abrirá nuevas posibilidades a los ciberdelincuentes. En Windows 8 se podrán diseñar aplicaciones que puedan funcionar en Windows 8 tanto en PCs, como en Tablets y Smartphones, por lo que el desarrollo de aplicaciones maliciosas como las que hemos visto en Android podrán llegar a ser una realidad, aunque lo más probable es que esto sea algo que no veremos hasta 2013.
El panorama no tiende a mejorar. Podemos observar cómo según avanza el mundo de las nuevas tecnologías los ciberdelincuentes se adaptan con nuevos tipos de ataques, muchas veces acomodando viejas técnicas a las nuevas plataformas. Al final, la falsa sensación de seguridad en la que viven los usuarios confiados es la mejor arma para que los ciberdelincuentes propaguen sus creaciones.
El hacker siempre por delante
Desde Panda Security se considera que en la actualidad, las casas de seguridad estamos afrontando la ardua tarea de lidiar con 73.000 ejemplares nuevos al día, y nuestra base de datos de amenazas conocidas ya supera los 68 millones. El 54% de estas nuevas amenazas sólo viven 24 horas, y el 95% de las que se distribuyen y afectan a los ordenadores, sólo lo hacen durante tres meses para luego desaparecer.
El motivo es muy sencillo: dado que el beneficio que obtienen los ciberdelincuentes es económico, no están interesados en que los fabricantes de soluciones de seguridad les detectemos y bloqueemos, por lo que cambian sus códigos o crean nuevos de forma casi diaria.
La seguridad tradicional, basada en el fichero de firmas local en los servidores o en los puestos de trabajo, tiene una doble problemática. Por un lado, el laboratorio tiene que recibir el ejemplar, analizarlo, clasificarlo, hacer la vacuna y distribuirla a través de Internet. La compañía que tiene el sistema de seguridad tradicional instalado tiene que descargar la nueva vacuna y distribuirla por todo su parque.
Por un lado, con el sistema tradicional, existe una ventana de tiempo desde que aparece un nuevo ejemplar hasta que la vacuna correspondiente está instalada en el ordenador de la compañía que puede resultar en una infección no deseada. Por otro lado, las soluciones de seguridad tradicional se han vuelto, con el paso del tiempo, cada vez más pesadas, dado que en su fichero de firmas local (la base de datos que contiene los códigos para combatir las amenazas) se almacena toda la base de datos.
Las grandes ventajas que ofrece un sistema de seguridad que proteja desde la nube son precisamente las soluciones a estas dos problemáticas: por un lado, una mayor rapidez en la detección, análisis, clasificación y resolución de nuevos ejemplares de malware, gracias a sistemas automáticos que correlacionan los eventos de comunidades mundiales que actúan a modo de sensores; por otro lado, los procesos de análisis de ficheros descargados, recibidos, etc., no se hacen en local, sino que se trasladan a la nube, por lo que se libera radicalmente de recursos a los servidores y a los puestos locales.